ГОСТ Р ИСО/МЭК 15408-2—2002
8 FDPIFF. 1.4 автору ПЗ/ЗБ следует специфицировать все дополнительные возможности ПФБ, кото
рые от ФБО требуется предоставить. Если дополнительные возможности нс предоставляются, то автору Г13/ЗБ
следует укатать «Нет* при выполнении рассматриваемой операции.
В FDP IFF.1.5 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила,
явно разрешающие информационные потоки н дополняющие правила, определенные в предыдущих элементах.
Они вынесены в отдельный элемент FDP_IFF.1.5, поскольку описывают исключения ит правил в предыдущих
элементах. Например, правила явного разрешения информационного потока могут быть основаны на векторе
полномочий, ассоциированном с субъектом н всегда обеспечивающим ему возможность инициировать перемеще
ние информации, на которую распространяется специфицированная ПФБ. Если подобная возможность нежела
тельна, то автору ПЗ/ЗБ следует указать «Нот» в данной операции.
В FDP_IFF.1.6 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила,
явно запрещающие информационные потоки н дополняющие правила, определенные в предыдущих элементах.
Они вынесены в отдельный Элемент FDPIFF. 1.6. поскольку описывают исключения из правил в предыдущих
элементах. Например, правила явною запрещения информационного потока могут быгь основаны на векторе
полномочий, ассоциированном с субъектом н всегда отказывающим ему в возможности инициировать перемеще
ние информации, на которую распространяется специфицированная 11ФБ. Если подобная возможность нежела
тельна, то автору НЗ/ЗБ следует указать «Нет* в .тайной операции.
FDP1FF.2 Иерархические атрибуты безопасности
Замечания по применению для пользователя
Компонент FDPJFF.2 содержит требование, чтобы все ПФБ управления информационными потоками
в ПВО использовали иерархические атрибуты безопасности, которые образуют некоторую структуру.
Например, этот компонент следует применять, когда хотя бы одна из ПФБ управления информацион
ными потоками основана на метках, как это определяет модель политики бдзопасносги Белла н Да Папулы
|В&1.|. и эти атрибуты безопасности образуют иерархию.
Важно отмстить, что требования иерархических отношений, идентифицируемые в FDP_.IFF.2.7. приме
нимы только к атрибутам безопасности управления информационными потоками для ПФБ упраапсния ин
формационными потоками, идентифицированным в FDP_IFF.2.I. Этот компонент не применим к
другим Г1ФБ, например к ПФБ управления доступом.
Компонент FDP_IFF.2, как и предыдущий, может использоваться для рсапизапии политики полномо
чий, содержащей правила, позволяющие явно разрешать или запрещать информаикоиные потоки.
В случае, когда необходимо специфицировать несколько ПФБ упраатсния информационными потока
ми. каждая из которых будет имегь собственные атрибуты безопасности, нс связанные с атрибутами других
политик, в ПЗ/ЗБ следует сисцифииировать этот компонент для каждой из ПФБ (т. с. выполнить для
него оиераиию итерации). Если этого не сделать, то различные части FDP_!FF.2.7 могут противоречить друг
другу, поскольку нс будут связаны необходимыми соотношениями.
Операции
На з н а ч е н и е
В FDP_IFF.2.1 автору ПЗ/ЗБ следует специфицировать ПФБ упраатсния информационными потоками,
осуществляемые ФБО. Имя и область действия ПФБ управления информационными потоками определяются в
компонентах семейства FDP_IFC.
В FDP_IFF.2.1автору ПЗ/ЗБ следует специфицировать минимальное число и тип атрибутов безопаснос
ти. которые будут использоваться при спецификации правил. Такими атрибутами безопасности могут быть,
например, идентификатор субъекта, уровень чувствительности субъекта, уровень допуска субъекта к инфор
мации, уровень чувствительности информации и т. д. Следует, чтобы минимальное число атрибутов безопасно сти
каждого типа было достаточным для поддержки потребностей среды.
В FDP_1FF.2.1 автору ПЗ/ЗБ следует специфицировать для каждой операции реализуемые ФБО и осно
ванные на атрибутах безопасности отношения, которые необходимо поддерживать между атрибутами безо
пасности субъектов и информации. Эти отношения следует основывать на упорядоченных связях между атрибу
тами безопасности.
В FDP_IFF.2.3 автору ПЗ/ЗБ следует специфицировать все дополнительные правила ПФБ управления
информационными потоками, которые от ФБО требуется реализовать. Если дополнительные правила не ис
пользуются. то автору ПЗ/ЗБ следует указать «Нет* при выпотнении рассматриваемой операции.
В FDIMFF.2.4 автору ПЗ/ЗБ следуетспецифицировать все дополнительные возможности ПФБ. которые
от ФБО требуется предоставить. Если дополнительные возможности нс предоставляются, то автору ПЗ/ЗБ
следует указать «Нет» при выполнении рассматриваемой операции.
В FDP_IFF.2.5 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила,
явно разрешающие информационные потоки и дополняющие правила, определенные в предыдущих элемен
тах. Они вынесены в отдельный элемент FDP_IFF.2.5. поскольку описывают исключения из правил в предыду
щих элемешах. Например, правила явного разрешения информационного потока могут быть основаны на
векторе полномочий, ассоциированном с субъектом и всегда обеспечивающим ему возможность пнишшро-
вать перемещение информации, на которую распространяется специфицированная Г1ФБ. Если подобная воз
можность нежелательна, то автору ПЗ/ЗБ следует указать «Нет» в данной операции.
8 - 2 - ’1 5 2 3
113